¿Qué es BlackRuby y por qué es una amenaza para las criptomonedas?

El malware detectado por S21sec ofrece a los atacantes la posibilidad de elegir a las víctimas por país y minar criptomonedas.

BlackRuby
Foto: Bigstock

Recientemente fue detectado un malware, denominado BlackRuby, el cual ofrece a los atacantes la posibilidad de elegir a las víctimas por país. Otra particularidad es que el dispositivo infectado puede ser usado para minar criptomonedas, sin el consentimiento del dueño legítimo.

Una vez instalado el virus, éste escanea la computadora en busca de determinados archivos, los encripta y coloca la nota de rescate: la víctima deberá pagar 650 dólares en Bitcoin o no podrá recuperar sus archivos (12 mil pesos, dependiendo el tipo de cambio). En la nota se especifica un correo electrónico al que se tiene que notificar el pago.

Según los atacantes, la víctima obtendrá un “Black Ruby Decryptor”, junto con la clave privada de su sistema. Sin embargo, nada garantiza que los archivos sean efectivamente devueltos o que no se haya hecho una copia de ellos.

También se ha reportado el uso de los dispositivos infectados como “mineros” de la criptomoneda Monero, especialmente en el caso en el que las víctimas se nieguen a pagar el rescate, o los cibercriminales no se muestran satisfechos con un pago en particular.

Realizar respaldos de información periódicos es una de las maneras más efectivas de combatir la eficacia del ransomware.

La firma de seguridad S21sec recomienda que haya 2 tipos de respaldo: en un dispositivo físico (como una usb que se guarde en la oficina) y uno virtual (en un servicio como Dropbox o Google Drive); de esta manera, el usuario siempre tendrá a la mano una forma de recuperar sus datos.

El asedio contra las criptomonedas

El 2018 representa un año en el que las criptomonedas estarán en la mira de los ciberdelincuentes.

La semana pasada la empresa Talos, propiedad del gigante informático Cisco, detectó la actividad de un grupo de ciberdelincuentes, llamado Coinhoarder, el cual robó más de 50 millones de dólares en criptomonedas a los usuarios de Blockchain.info, uno de los proveedores más populares de divisas digitales.

El modus operandi se dio a través de la compra de anuncios de Google en palabras clave de búsquedas populares relacionadas con la criptomoneda “para envenenar los resultados de búsqueda de usuarios” y arrebatar el contenido de las billeteras criptográficas.

“Los atacantes sólo necesitaron seguir comprando Google AdWords para garantizar un flujo constante de víctimas”, explicó la investigación de Talos, liderada por Jeremiah O’Connor y Dave Maynor.

Esto significa que las personas que buscaban en Google términos como “blockchain” o “bitcoin wallet” veían enlaces a sitios web maliciosos que se enmascaraban como dominios legítimos para las carteras de Blockchain.info.

Para la analista y experta en spam para Kaspersky Lab, Darya Gudkova, la manera en que actúan los ciberdelincuentes depende de las tendencias entre los cibernautas, especialmente si es algo que los usuarios apenas están conociendo o tienen deseos de entender.

“Esto demuestra una vez más que la forma más confiable de dirigirse a las víctimas es utilizar las tendencias actuales y cobrarlas en un mercado emergente que los usuarios aún están aprendiendo y muestran deseosos de explorar”.

El interés de los usuarios en fenómenos financieros como las criptomonedas no pasa desapercibido para los delincuentes, quienes siempre encuentran la forma de engañar a sus víctimas jugando con sus deseos, anotó la experta.